울지않는벌새 : Security, Movie & Society

VSLay.dll를 이용한 온라인 게임 계정 탈취 목적의 루트킷(Rootkit) 악성코드 (2011.10.11)

벌새::Analysis
주말을 중심으로 한 국내 인터넷 사용자들을 대상으로 한 온라인 게임 계정 탈취 목적의 악성코드는 6~7월경부터 쉘코드(ShellCode)를 이용한 VSLay.dll 파일을 통한 감염을 유발하는 사례가 발견되기 시작하였습니다.

특히 최근에는 Windows 탐색기로는 파일을 확인할 수 없는 루트킷(Rootkit) 방식으로 등록하여 사용자 PC에 설치된 보안 제품(AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine))의 기능을 방해하여 감염된 자신들을 보호하고 있습니다.

어느 날 자신의 컴퓨터에 설치된 이들 보안 제품이 동작하지 않거나 삭제되는 현상이 발생한다면 이런 류의 악성코드에 감염되었으므로 전용 백신 또는 제3의 보안 제품을 설치하여 안전모드에서 정밀 검사를 하시기 바랍니다.

참고로 Kaspersky 보안 제품을 이용하여 테스트를 해 본 결과 초기 감염을 막지 못하였다면 제품의 실시간 감시 등 일부 동작을 방해하는 경우도 확인되었습니다.

다시 본론으로 들어와서 주말에 감염된 일부 웹 사이트는 관리자가 삽입된 악성 스크립트를 제거하지 않는 관리상의 문제로 주말이 지나고 평일이 되어도 여전히 유포되는 사이트가 발견되고 있으며, 그런 사이트 중 주식 관련 사이트에서 유포되는 사례를 통해 감염시 수동으로 문제를 해결할 수 있는 방법을 알아보도록 하겠습니다.(※ 분석 내용 중 일부는 비전문가 능력으로 인해 부정확한 정보가 일부 포함되어 있을 수 있으므로 유념하시기 바랍니다.)

해당 유포와 관련된 과거 유사 사례로 처리님의 블로그에서 분석한 악성코드 내용을 참고하시기 바랍니다.


파일명 보안 제품 진단명
ab.js nProtect Script-JS/W32.Agent.DCZ
Birthday.swf nProtect Trojan-Exploit/W32.SWFlash.12294.OI
vvv.html avast! JS:ShellCode-EG [Expl]
hhh.html AhnLab V3 JS/Exploit
fff.html nProtect Script-JS/W32.Agent.DDC

해당 악성코드는 해킹된 사이트에 사용자가 접속할 경우 Internet Explorer 웹 브라우저 및 Adobe Flash Player 보안 패치가 적용되지 않은 환경인 경우 자동으로 감염이 이루어지도록 되어 있습니다.

확인된 취약점으로는 Internet Explorer 웹 브라우저에서 발견된 CVE-2010-0806 취약점과 Adobe Flash Player 제품에서 발견된 메모리 변조를 통한 코드 실행이 가능한 CVE-2011-2140 취약점 등이 이용된 것으로 보입니다.

그러므로 해당 악성코드에 감염된 사용자는 단순히 치료만 할 것이 아니라, 반드시 Windows 보안 업데이트와 Adobe Flash Player 최신 버전을 설치하시고 인터넷을 이용하는 것이 가장 중요합니다.

추가적으로 개인적 분석 능력 부족으로 어떤 경로를 통해 감염되는지 알 수 없는 Adobe Flash Player 취약점을 이용한 e.avi(MD5 : ba9b2a0e81e6a0f6e3fa64c867fd0be6) 파일에 대하여 Kaspersky 보안 제품에서는 Exploit.Win32.CVE-2011-2140.a 진단명으로 진단되고 있습니다.

감염 과정을 살펴보면 다양한 취약점을 이용한 악성 스크립트는 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\VSLay.dll] 파일을 생성하여, 추가적인 악성 파일을 등록하며 이 과정에서 알약(ALYac), AhnLab V3, 바이러스 체이서(Virus Chaser), 네이버 백신(Naver Vaccine) 및 온라인 게임 사이트 제공 보안 제품에 대한 무력화 기능을 실행합니다.

또한 vvv.html, hhh.html, fff.html 악성 스크립트는 국내 유명 M 음악 서버에 등록된 암호화된 201110072127351525.jpg 파일을 다운로드하여 XOR을 통해 복호화되어 midisappe.dll 파일로 자가 복제를 합니다.

참고로 복호화된 파일(MD5 : 6774659327e884883e7b789207803dc8)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Onlinegamehack69.Gen (VirusTotal : 31/43) 진단명으로 진단되고 있습니다.

복제된 midisappe.dll 파일은 Microsoft MIDI Mapper 파일로 위장하여 사용자가 Internet Explorer 웹 브라우저를 비롯한 다양한 프로세스에 삽입되어 AVKiller 및 온라인 게임 계정 정보를 수집하여 유출하는 기능을 가지고 있습니다.

실제 iexplore.exe 프로세스에 삽입된 모습을 보면 정상적인 midimap.dll(Microsoft MIDI Mapper : C:\WINDOWS\system32\midimap.dll) 파일처럼 위장한 midisappe.dll(C:\WINDOWS\system32\midisappe.dll) 파일이 추가되어 있는 것을 확인할 수 있습니다.

또한 감염된 PC 활동을 엿보면 주기적으로 알약(ALYac), V3 Lite, V3 365 Clinic, 네이버 백신(Naver Vaccine) 보안 제품을 체크하여 설치, 동작 동작 방해 등을 하려는 것을 확인할 수 있습니다.

감염된 사용자가 넥슨(Nexon), 피망(PMang), 한게임(Hangame), 넷마블(NetMarble) 등 국내 온라인 게임 사이트에 접속하여 로그인을 시도할 경우 홍콩(HongKong)에 등록된 180.178.45.67 IP 서버로 계정 정보가 유출되는 동작을 확인할 수 있습니다.

대략적인 감염 과정과 감염으로 인한 문제를 알아보았다면 이런 악성코드를 수동으로 해결할 수 있는 방법을 살펴보도록 하겠습니다.

해당 악성코드는 루트킷(Rootkit) 방식으로 Windows 탐색기와 레지스트리 편집기(regedit)에서는 찾을 수 없으며, GMER 도구와 PowerTool 4.1 영문판을 추가로 다운로드하여 활용해야 합니다.


[생성 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\VSLay.dll :: 자가 삭제
C:\WINDOWS\midisappe.dll :: 루트킷(Rootkit)
C:\WINDOWS\ver.dat
C:\WINDOWS\wallball.dat
C:\WINDOWS\windowswalls.bmp :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\Tasks\ahnsvr.dat :: 루트킷(Rootkit)
C:\WINDOWS\Tasks\midisappe.dat :: 루트킷(Rootkit)
C:\WINDOWS\Tasks\ntfsny.dat :: 루트킷(Rootkit)
C:\WINDOWS\system32\drivers\ahnsvr.sys :: 루트킷(Rootkit)
C:\WINDOWS\system32\drivers\ntfsny.sys :: 루트킷(Rootkit)
C:\WINDOWS\system32\midisappe.dll :: 루트킷(Rootkit)

[생성 파일 진단 정보]

C:\WINDOWS\midisappe.dll
C:\WINDOWS\system32\midisappe.dll
 - MD5 : 6774659327e884883e7b789207803dc8
 - AhnLab V3 : Win-Trojan/Onlinegamehack69.Gen (VirusTotal : 31/43)

C:\WINDOWS\windowswalls.bmp
 - MD5 : 9aa033c631b61ae0a613eb96cc496fff
 - nProtect : Trojan/W32.Agent.66560.RX (VirusTotal : 1/43)

C:\WINDOWS\Tasks\ahnsvr.dat
 - MD5 : cfd94ad5ee27fe12bcc772799f5306ea
 - Kaspersky : Rootkit.Win32.Agent.bnhw (VirusTotal : 9/43)

C:\WINDOWS\Tasks\midisappe.dat
 - MD5 : eb3dd6d5299d1b1ecd4eb651e5bbbbbd
 - nProtect : Trojan/W32.Agent.66560.RX (VirusTotal : 1/43)

C:\WINDOWS\Tasks\ntfsny.dat
 - MD5 : 134c3b77963881ba3f26dc8eaa31489b
 - nProtect : Trojan-PWS/W32.WebGame.23680.B (VirusTotal : 9/43)

C:\WINDOWS\system32\drivers\ahnsvr.sys
 - MD5 : ebce8cc5912d2baf8d7495ca8fc5640b
 - AhnLab V3 : Win-Trojan/Onlinegamehack55.Gen (VirusTotal : 39/43)

C:\WINDOWS\system32\drivers\ntfsny.sys
 - MD5 : ec14801aaa0abff7c66317c7468df2a5
 - AhnLab V3 : Win-Trojan/Onlinegamehack56.Gen (VirusTotal : 37/43)

수동으로 생성 파일을 삭제하기 위해서는 [C:\WINDOWS\windowswalls.bmp] 파일의 경우 폴더 옵션에서 반드시 [보호된 운영 체제 파일 숨기기] 항목의 체크 해제와 [숨김 파일 및 폴더 표시] 항목을 선택하시고 Windows 탐색기를 통해 삭제하시기 바랍니다.

그 외의 루트킷(Rootkit) 파일은 GMER 도구를 통해 다음의 방법을 참고하여 파일을 삭제를 진행하시기 바랍니다.

최초 GMER 도구를 실행하면 빠른 검색 방식으로 서비스에 등록된 루트킷 파일 2개가 발견되었음을 확인할 수 있습니다.

GMER 도구의 [Files] 탭에서 그림과 같은 파일들을 찾아 선택한 후 [Delete] 버튼을 클릭하여 삭제하시기 바랍니다.

동일한 방법으로 시스템 드라이버 폴더에 존재하는 2개의 파일(ahnsvr.sys, ntfsny.sys)을 찾아 삭제를 하시기 바랍니다.


[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ahnsvr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntfsny


레지스트리 삭제의 경우에는 PowerTool 도구를 이용하여 2개의 레지스트리 키값을 삭제하시기 바랍니다.

참고로 파일 및 레지스트리 삭제시에는 다른 값을 삭제할 경우 치명적인 시스템 불안을 유발할 수 있으므로 매우 주의하시기 바랍니다.

위와 같은 동작을 완료한 후에는 반드시 국내 유명 보안 제품을 설치하여 정밀 검사를 추가로 하시기 바라며, 위에서 언급하였지만 설치되지 않은 Windows 보안 패치와 Adobe Flash Player 최신 버전을 재확인하시기 바랍니다.

매주 주말을 기점으로 반복적으로 시스템에 감염되는 사용자들 중에는 PC 수리점 업체를 통해 Windows 포멧을 한 경우 불법 Windows 운영 체제를 설치하면서 보안 업데이트 기본값을 변경하여 매월 제공되는 업데이트가 설치되지 않도록 중지하는 사례를 목격할 수 있었습니다.

그러므로 반드시 Windows 보안 업데이트 기능을 ON 상태로 유지하시기 바라며, 일부 사용자들이 Adobe Flash Player 최신 버전의 호환성 문제로 최신 업데이트를 하지 않고 구버전을 사용하는 습관도 버리시기 바랍니다.